【活用ガイド】

JVNDB-2008-001017

Apple QuickTime RTSP の Response message に含まれる Reason-Phrase 処理にバッファオーバーフローの脆弱性

概要

Apple QuickTime RTSP の Response message に含まれる Reason-Phrase の処理には、バッファオーバーフローの脆弱性が存在します。

RTSP (Real Time Streaming Protocol) は、ストリーミングメディアシステムで使用されるプロトコルであり Apple QuickTime Streaming サーバや QuickTime Player でサポートされています。Apple Quicktime RTSP の Response message に含まれる Reason-Phrase を処理する際にバッファオーバーフローの脆弱性が存在します。

Winodws 版および Mac 版の QuickTime が本脆弱性の影響を受けます。また、iTunes など QuickTime を使用するソフトウェアをインストールしているシステムも本脆弱性の影響を受けます。

また、既にこの脆弱性を使用した検証コードが公開されています。

2008/01/16 Apple は Quicktime 7.4 を公開しましたが、本件に関する検証コードをもとに確認を行なったところ最新バージョンでも Quicktime 7.3 で発生したアクセス違反と同様の現象が確認されました。本件に関しての正式な対策が公開されるまで引き続き注意が必要です。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


アップル
  • Apple TV 2.1 未満
  • QuickTime 4.0 から 7.4 まで

想定される影響

様々なウェブページコンテンツや Quicktime メディアリンクファイルを通じて、遠隔の第三者によって細工された RTSP stream にユーザが接続することによって、任意のコードが実行されたりサービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対策

[アップデートする]
2008/02/07 現在、本件への対策を行なった QuickTime 7.4.1 が公開されています。

アップデートを適用できない場合、以下の回避策を行なうことで、想定される攻撃によって受ける影響を軽減することはできますが、脆弱性自体が解決されるわけでありません。

[Quicktime をアンインストールする]
対策版が提供されるまで Quicktime をアンインストールしてください。

[アクセス制限をする]
rtsp://URL が含まれる通信を制限する。RTSP プロトコルはデフォルトで 554/tcp や 6970-6999/udp ポートを使用します。ただし、RTSP は異なるポートを使用している可能性もあるため、特定のポート番号に基づいてプロトコルをブロックしようとするだけでは十分でない可能性があります。

[Internet Explorer で QuickTime ActiveX コントロールを無効にする]
Internet Explorer で ActiveX コントロールの動作を停止する方法を参考にしてQuicktime ActiveX コントロールを無効にしてください。

[Mozilla ベースのブラウザで QuickTime プラグインを無効にする]
プラグインのアンインストール(削除) を参考にして QuickTime プラグインを削除してください。

[JavaScript を無効にする]
JavaScript を無効にすることにより、QuickTime plug-in や ActiveX control を利用した攻撃を回避できる可能性があります。

[発信元の確認ができない Quicktime ファイルにアクセスしない]
ベンダ情報

アップル
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2008-0234
参考情報

  1. JVN : JVNVU#112179
  2. National Vulnerability Database (NVD) : CVE-2008-0234
  3. 警察庁 @police : QuickTime の脆弱性について
  4. US-CERT Vulnerability Note : VU#112179
  5. Secunia Advisory : SA28423
  6. SecurityFocus : 27225
  7. ISS X-Force Database : 39601
  8. SecurityTracker : 1019178
  9. FrSIRT Advisories : FrSIRT/ADV-2008-0107
更新履歴

  • [2008年01月25日]
      掲載
    [2008年02月20日]
      対策:対策方法の記述を更新しました。
      ベンダ情報: アップル(QuickTime 7.4.1)追加。
    [2008年07月28日]
      影響を受けるシステム:アップル (Apple TV 2.1) の情報を追加
      ベンダ情報:アップル (Apple TV 2.1) を追加

公表日2008/01/11
登録日2008/01/25
最終更新日2008/07/28